Хэш (SHA 1) этого текста: 4f5b9f376aa53c6cccca03a2ddd065a59550d73c
Номер: Цепной источник Безопасность No.003
3 июля 2024 года платформа наград за баги OpenBounty была обнародована за публикацию несанкционированных отчетов об уязвимостях в общедоступной цепочке. Для каждой из инфраструктур и исследователей безопасности, перечисленных здесь, такое поведение является крайне небрежным и неуважительным. В то же время, общественное обсуждение было вызвано тем, что общая награда за все уязвимости превысила 11 миллиардов долларов США, что привело к тому, что платформа наград за баги стала известна широкой публике. Команда Chain Source Security провела анализ безопасности и опубликовала часть результатов, чтобы помочь читателям понять детали этого инцидента и лучше понимать такие платформы, как платформа наград за баги.
Связанная информация
Информация о докладе о уязвимостях, опубликованная OpenBounty на блокчейне SEHNTU (теперь удалены предложения, касающиеся Ethereum):
награда за баг/взлом
В мире в блокчейне漏洞награда платформа очень похожа на традиционную сетевую безопасность "поиск уязвимостей" платформу, обе основные цели заключаются в привлечении исследователей безопасности и белых шляп хакеров через систему наград, чтобы найти и сообщить ослабления в системе и тем самым повысить общую безопасность.
Их операционная модель в течение времени выглядит следующим образом:
(2)Отчет о уязвимости: исследователи безопасности и хакеры проверяют код проекта или систему, обнаруживают уязвимости и представляют подробный отчет.
(3) Проверка и исправление: команда проекта проверяет отчет о уязвимостях и вносит исправления.
(4) Выплата вознаграждения: после завершения исправлений в соответствии с серьезностью уязвимости и ее влиянием предоставляется соответствующее вознаграждение обнаружившему уязвимость.
Традиционная безопасность в сети в основном следует за уязвимостями традиционных ИТ, такими как веб-приложения, серверы, сетевое оборудование и т. д., такими как XXS[ 1 ], SQL-инъекции[ 2 ], CSRF[ 3 ] и т. д.
Безопасность блокчейна - это больше, чем просто кошелек, Смарт-контракты, Протокол и шифрование. Она также включает в себя решение проблем, таких как атаки Сибила [4], кросс-чейн атаки [5], а также необычные внешние вызовы, и т.д.
Отчет о ключевых уязвимостях
В отчете о нарушении 33, опубликованном OpenBounty, CertiK провела аудит и тест на проникновение цепочки SHENTU. Из предложения видно, что основной задачей этого теста на безопасность является решение проблем внутренней безопасности SHENTU и ограничений на авторизацию.
Однако, после прочтения исходного кода SHENTU, был обнаружен код, заменяющий префикс CertiK на префикс SHENTU. Хотя это понятно в разработке, и замена доменного имени была произведена для удобства настройки, это может создавать ощущение, что CertiK является и судьей, и спортсменом.
В других 32 отчетах об уязвимостях SEHNTU, которые еще не удалены, можно увидеть описания проблем, стороны, проголосовавшие за них, описания вознаграждений и даже код каждой системы после обновления уязвимости. Эта несанкционированная информация может легко привести к вторичному разрушению этих систем, поскольку каждая система имеет свои исторические проблемы или уникальные привычки кодирования в процессе разработки, и для хакера использование этой информации действительно огромно.
Пояснение терминов
[ 1 ]XXS: злоумышленники внедряют вредоносные сценарии на веб-страницу, чтобы выполнить их при просмотре пользователем этой страницы, включая рефлективный XSS, хранимый XSS, DOM-дерево XSS.
[ 2 ]SQL Инъекция: метод атаки, при котором злонамеренный SQL-код вставляется во входные поля (например, в формы, параметры URL) и затем передается для выполнения в базу данных. Такие атаки могут привести к утечке, изменению или удалению данных в базе данных, а также к получению контроля над сервером базы данных.
[ 3 ]CSRF: способ атаки, при котором используется аутентифицированная пользователем сессия для отправки несанкционированного запроса на доверенный сайт. Злоумышленник, с помощью специально подготовленной веб-страницы или ссылки, может выполнить действия, такие как перевод денег, изменение личной информации и т.д., не давая пользователю возможности заметить это.
[ 4 ]Сибил-атака: в распределенной сети злоумышленник создает лонг фальшивых Узел, пытаясь манипулировать процессом принятия решений в сети. Злоумышленник воздействует на СоглашениеАлгоритм, создавая большое количество фиктивных Узел, чтобы контролировать подтверждение транзакций или блокировать законные транзакции.
[ 5 ]Кроссчейн взаимодействие атака: злоумышленник может через манипулирование запросами на транзакции Кроссчейн взаимодействие обойти проверку безопасности в контракте, похитить или изменить данные транзакций Кроссчейн взаимодействие, например, атака моста Poly Network Кроссчейн взаимодействие.
Заключение
В целом, как сказано в OpenZepplin и HackenProof, управление наградами за баг должно быть разрешено выпустителем, это вопрос параллельный правовым и профессиональным этическим вопросам, а также основа достижений многих независимых разработчиков.
ChainSource Technology — компания, которая специализируется на безопасности блокчейна. Наша основная работа включает в себя исследования безопасности блокчейна, анализ данных в сети, а также спасение активов и контрактов от уязвимостей, и мы успешно восстановили ряд украденных цифровых активов для частных лиц и учреждений. В то же время мы стремимся предоставлять отчеты об анализе безопасности проектов, отслеживаемость в сети и услуги технического консультирования/поддержки для отраслевых организаций.
Благодарим вас за чтение, мы будем продолжать сосредотачиваться на и делиться содержанием по безопасности блокчейна.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
OpenBountyXTZ время разрешения уязвимости
Хэш (SHA 1) этого текста: 4f5b9f376aa53c6cccca03a2ddd065a59550d73c
Номер: Цепной источник Безопасность No.003
3 июля 2024 года платформа наград за баги OpenBounty была обнародована за публикацию несанкционированных отчетов об уязвимостях в общедоступной цепочке. Для каждой из инфраструктур и исследователей безопасности, перечисленных здесь, такое поведение является крайне небрежным и неуважительным. В то же время, общественное обсуждение было вызвано тем, что общая награда за все уязвимости превысила 11 миллиардов долларов США, что привело к тому, что платформа наград за баги стала известна широкой публике. Команда Chain Source Security провела анализ безопасности и опубликовала часть результатов, чтобы помочь читателям понять детали этого инцидента и лучше понимать такие платформы, как платформа наград за баги.
Связанная информация
Информация о докладе о уязвимостях, опубликованная OpenBounty на блокчейне SEHNTU (теперь удалены предложения, касающиеся Ethereum):
награда за баг/взлом
В мире в блокчейне漏洞награда платформа очень похожа на традиционную сетевую безопасность "поиск уязвимостей" платформу, обе основные цели заключаются в привлечении исследователей безопасности и белых шляп хакеров через систему наград, чтобы найти и сообщить ослабления в системе и тем самым повысить общую безопасность.
Их операционная модель в течение времени выглядит следующим образом:
(1)项目发起挑战:无论是区块链项目还是传统网络应用,都会在平台上发布漏洞Программа вознаграждений。
(2)Отчет о уязвимости: исследователи безопасности и хакеры проверяют код проекта или систему, обнаруживают уязвимости и представляют подробный отчет.
(3) Проверка и исправление: команда проекта проверяет отчет о уязвимостях и вносит исправления.
(4) Выплата вознаграждения: после завершения исправлений в соответствии с серьезностью уязвимости и ее влиянием предоставляется соответствующее вознаграждение обнаружившему уязвимость.
Традиционная безопасность в сети в основном следует за уязвимостями традиционных ИТ, такими как веб-приложения, серверы, сетевое оборудование и т. д., такими как XXS[ 1 ], SQL-инъекции[ 2 ], CSRF[ 3 ] и т. д.
Безопасность блокчейна - это больше, чем просто кошелек, Смарт-контракты, Протокол и шифрование. Она также включает в себя решение проблем, таких как атаки Сибила [4], кросс-чейн атаки [5], а также необычные внешние вызовы, и т.д.
Отчет о ключевых уязвимостях
В отчете о нарушении 33, опубликованном OpenBounty, CertiK провела аудит и тест на проникновение цепочки SHENTU. Из предложения видно, что основной задачей этого теста на безопасность является решение проблем внутренней безопасности SHENTU и ограничений на авторизацию.
Однако, после прочтения исходного кода SHENTU, был обнаружен код, заменяющий префикс CertiK на префикс SHENTU. Хотя это понятно в разработке, и замена доменного имени была произведена для удобства настройки, это может создавать ощущение, что CertiK является и судьей, и спортсменом.
В других 32 отчетах об уязвимостях SEHNTU, которые еще не удалены, можно увидеть описания проблем, стороны, проголосовавшие за них, описания вознаграждений и даже код каждой системы после обновления уязвимости. Эта несанкционированная информация может легко привести к вторичному разрушению этих систем, поскольку каждая система имеет свои исторические проблемы или уникальные привычки кодирования в процессе разработки, и для хакера использование этой информации действительно огромно.
Пояснение терминов
[ 1 ]XXS: злоумышленники внедряют вредоносные сценарии на веб-страницу, чтобы выполнить их при просмотре пользователем этой страницы, включая рефлективный XSS, хранимый XSS, DOM-дерево XSS.
[ 2 ]SQL Инъекция: метод атаки, при котором злонамеренный SQL-код вставляется во входные поля (например, в формы, параметры URL) и затем передается для выполнения в базу данных. Такие атаки могут привести к утечке, изменению или удалению данных в базе данных, а также к получению контроля над сервером базы данных.
[ 3 ]CSRF: способ атаки, при котором используется аутентифицированная пользователем сессия для отправки несанкционированного запроса на доверенный сайт. Злоумышленник, с помощью специально подготовленной веб-страницы или ссылки, может выполнить действия, такие как перевод денег, изменение личной информации и т.д., не давая пользователю возможности заметить это.
[ 4 ]Сибил-атака: в распределенной сети злоумышленник создает лонг фальшивых Узел, пытаясь манипулировать процессом принятия решений в сети. Злоумышленник воздействует на СоглашениеАлгоритм, создавая большое количество фиктивных Узел, чтобы контролировать подтверждение транзакций или блокировать законные транзакции.
[ 5 ]Кроссчейн взаимодействие атака: злоумышленник может через манипулирование запросами на транзакции Кроссчейн взаимодействие обойти проверку безопасности в контракте, похитить или изменить данные транзакций Кроссчейн взаимодействие, например, атака моста Poly Network Кроссчейн взаимодействие.
Заключение
В целом, как сказано в OpenZepplin и HackenProof, управление наградами за баг должно быть разрешено выпустителем, это вопрос параллельный правовым и профессиональным этическим вопросам, а также основа достижений многих независимых разработчиков.
ChainSource Technology — компания, которая специализируется на безопасности блокчейна. Наша основная работа включает в себя исследования безопасности блокчейна, анализ данных в сети, а также спасение активов и контрактов от уязвимостей, и мы успешно восстановили ряд украденных цифровых активов для частных лиц и учреждений. В то же время мы стремимся предоставлять отчеты об анализе безопасности проектов, отслеживаемость в сети и услуги технического консультирования/поддержки для отраслевых организаций.
Благодарим вас за чтение, мы будем продолжать сосредотачиваться на и делиться содержанием по безопасности блокчейна.